Sicherheitsleck auf Steam (Up: sollte wieder gehen)

Der Tummelplatz für alle PC-Spieler!

Moderatoren: Moderatoren, Redakteure

Benutzeravatar
Bedameister
Beiträge: 19413
Registriert: 22.02.2009 20:25
Persönliche Nachricht:

Sicherheitsleck auf Steam (Up: sollte wieder gehen)

Beitrag von Bedameister »

Bei Valve ist wohl was mächtig schief gelaufen. Irgendwie war es wohl zwischenzeitlich möglich die Profilinformationen von anderen Usern zu sehen. Es gibt wiedersprüchliche Informationen darüber wie weit das ganze geht und vor allem ob es möglich war auch bei fremden Accounts Käufe zu tätigen etc.
Ein offizielles Statement von Valve gibt es bis jetzt noch nicht. Zwischenzeitlich hat Valve aber wohl komplett alles runtergefahren und mitlerweile sieht es so aus als wäre wieder halbwegs normalität eingetroffen.

Trotzdem empfehle ich euch lieber erstmal nichts was mit Steam zu tun hat zu nutzen.

Wer sich das ganze Schlamassel durchlesen will:
http://www.neogaf.com/forum/showthread.php?t=1162196

Hier mal eine Nachricht von Eurogamer dazu:
http://www.eurogamer.net/articles/2015- ... on-exposed
Zuletzt geändert von Bedameister am 26.12.2015 00:40, insgesamt 1-mal geändert.
Benutzeravatar
LeKwas
Beiträge: 15548
Registriert: 31.01.2007 14:44
Persönliche Nachricht:

Re: BENUTZT KEIN STEAM IM MOMENT!!!

Beitrag von LeKwas »

Hab' ich auch eben erfahren (Steam glücklicherweise ohnehin längere Zeit nicht benutzt).
Ist dieser Cache-Fehler auf einen Hack oder dergleichen zurückzuführen?
Zuletzt geändert von LeKwas am 25.12.2015 22:34, insgesamt 1-mal geändert.
Inoffizieller 4Players-Discord-Server: https://discord.gg/BQV9R54
Benutzeravatar
seph`
Beiträge: 6865
Registriert: 21.10.2009 12:55
Persönliche Nachricht:

Re: BENUTZT KEIN STEAM IM MOMENT!!!

Beitrag von seph` »

danke für die meldung, hauptsache eben steam das erste mal seit ca. 2 monaten gestartet :ugly:.
Bild
-
Bild Bild Bild Bild
Benutzeravatar
LeKwas
Beiträge: 15548
Registriert: 31.01.2007 14:44
Persönliche Nachricht:

Re: BENUTZT KEIN STEAM IM MOMENT!!!

Beitrag von LeKwas »

Angeblich lassen sich mithilfe dieser Sicherheitslücke auch Einkäufe tätigen und Accountdaten ändern:

http://www.neogaf.com/forum/showpost.ph ... tcount=333

Edit: Ben Janca von IGN kann zumindest den ersten Punkt bestätigen, mit seinem Account haben Unbekannte kürzlich Einkäufe getätigt:

https://twitter.com/BenJanca/status/680494074726514689
Zuletzt geändert von LeKwas am 25.12.2015 23:57, insgesamt 7-mal geändert.
Inoffizieller 4Players-Discord-Server: https://discord.gg/BQV9R54
Kingtoo
Beiträge: 74
Registriert: 07.12.2010 00:48
Persönliche Nachricht:

Re: BENUTZT KEIN STEAM IM MOMENT!!!

Beitrag von Kingtoo »

kündigt unbedingt die Steamautorisierung bei eurem PayPal, aber NUR über PayPal selbst, nicht über die Steampage. Ganz wichtig, teilen se auch auf Twitter mit.
CritsJumper
Beiträge: 9918
Registriert: 04.06.2014 01:08
Persönliche Nachricht:

Re: BENUTZT KEIN STEAM IM MOMENT!!!

Beitrag von CritsJumper »

Nun also die offizielle Valve Twitter Seite teilt da gar nichts mit, denn Valve scheint Twitter nicht zu nutzen.

Die Seite auf welche hier verlinkt wird ist eine private Seite von einem dritten, genannt wird auf steamdb.info:
SteamDB, 2012-2015. With by xPaw and Marlamin. Deployed from ee3a6b662c
Beiden traue ich nicht zu das sie ein Problem seitens Steam einschätzen können. Hier im Forum Panik zu verbreiten ist der Sache nicht dienlich.

Ich würde lediglich darauf verweisen das es immer besser ist bestimmte Daten bei diversen Diensten nicht zu hinterlegen und sie nur zu nutzen wenn es nicht anders geht.
"Ich gewinne aber lieber den Informationskrieg als einen Moralwettstreit." Tara Mcgowan
Kingtoo
Beiträge: 74
Registriert: 07.12.2010 00:48
Persönliche Nachricht:

Re: BENUTZT KEIN STEAM IM MOMENT!!!

Beitrag von Kingtoo »

dienlich nein, aber eine Dauertranksaktion zu kündigen unter PayPal schadet auch niemanden, außer vll 1-2Min Zeit und falls es doch mehr ist als wir grade abschätzen können, wäre mir dieser Zeitaufwand es aufjedenfall wert.
CritsJumper
Beiträge: 9918
Registriert: 04.06.2014 01:08
Persönliche Nachricht:

Re: BENUTZT KEIN STEAM IM MOMENT!!!

Beitrag von CritsJumper »

LePie hat geschrieben:Hab' ich auch eben erfahren (Steam glücklicherweise ohnehin längere Zeit nicht benutzt).
Ist dieser Cache-Fehler auf einen Hack oder dergleichen zurückzuführen?
Das Problem ist anderer Natur LePie, man kann hier vielleicht nicht die normale Funktion erwarten wie etwa den Store zu Nutzen und ein Spiel mit seinen Inhalten gekauft zu haben so das es sich anschliessend auch herunterladen und starten lässt.

Vielmehr ist dies aber schon ein Hack da scheinbar per Zufall andere geschützte Inhalte der Nutzer offenbart werden. Ob man jetzt nur jene anderer Online eingeloggten Nutzern sehen kann oder wirklich die der kompletten Datenbank ist die Frage, ich vermute eher ersteres somit sind Offline-Nutzer ohnehin nicht betroffen und der Rat Steam aktuell nicht oder nur Offline zu nutzen wahrscheinlich hilfreich.

Dennoch reicht es um eben an die Daten der Nutzer zu kommen und das ist in der tat eine Art hack. Die Etikette und unser Hackerparagraph sollten jeden Nutzer aber davon abhalten in anderer Personen Daten zu schnüffeln, schliesslich macht man sich hierzulande damit strafbar. ;)
Kingtoo hat geschrieben:dienlich nein, aber eine Dauertranksaktion zu kündigen unter PayPal schadet auch niemanden, außer vll 1-2Min Zeit und falls es doch mehr ist als wir grade abschätzen können, wäre mir dieser Zeitaufwand es aufjedenfall wert.
Ja damit hast du recht, aber ich bin bei solchen Aufrufen immer skeptisch, vielleicht möchte dich nur jemand auf eine Phishing-Seite umleiten um auch noch an deine Paypal-Zugangsdaten heran zu kommen?

Deswegen sollte man immer den Ursprung verifizieren.
"Ich gewinne aber lieber den Informationskrieg als einen Moralwettstreit." Tara Mcgowan
Kingtoo
Beiträge: 74
Registriert: 07.12.2010 00:48
Persönliche Nachricht:

Re: BENUTZT KEIN STEAM IM MOMENT!!!

Beitrag von Kingtoo »

ChrisJumper hat geschrieben:
LePie hat geschrieben:Hab' ich auch eben erfahren (Steam glücklicherweise ohnehin längere Zeit nicht benutzt).
Ist dieser Cache-Fehler auf einen Hack oder dergleichen zurückzuführen?
Das Problem ist anderer Natur LePie, man kann hier vielleicht nicht die normale Funktion erwarten wie etwa den Store zu Nutzen und ein Spiel mit seinen Inhalten gekauft zu haben so das es sich anschliessend auch herunterladen und starten lässt.

Vielmehr ist dies aber schon ein Hack da scheinbar per Zufall andere geschützte Inhalte der Nutzer offenbart werden. Ob man jetzt nur jene anderer Online eingeloggten Nutzern sehen kann oder wirklich die der kompletten Datenbank ist die Frage, ich vermute eher ersteres somit sind Offline-Nutzer ohnehin nicht betroffen und der Rat Steam aktuell nicht oder nur Offline zu nutzen wahrscheinlich hilfreich.

Dennoch reicht es um eben an die Daten der Nutzer zu kommen und das ist in der tat eine Art hack. Die Etikette und unser Hackerparagraph sollten jeden Nutzer aber davon abhalten in anderer Personen Daten zu schnüffeln, schliesslich macht man sich hierzulande damit strafbar. ;)
Kingtoo hat geschrieben:dienlich nein, aber eine Dauertranksaktion zu kündigen unter PayPal schadet auch niemanden, außer vll 1-2Min Zeit und falls es doch mehr ist als wir grade abschätzen können, wäre mir dieser Zeitaufwand es aufjedenfall wert.
Ja damit hast du recht, aber ich bin bei solchen Aufrufen immer skeptisch, vielleicht möchte dich nur jemand auf eine Phishing-Seite umleiten um auch noch an deine Paypal-Zugangsdaten heran zu kommen?

Deswegen sollte man immer den Ursprung verifizieren.

Naja ich habe ja dort auf keinen Link oder sonstwas aus der Tweittermeldung geklickt. Sondern mich selbst bei PayPal angemeldet über nen eigenen TAB. PW geändert und Transaktiongekündigt. Sehe da keine Möglichkeit wegen Phishing-Sete.
Benutzeravatar
Stalkingwolf
Beiträge: 8525
Registriert: 25.06.2012 07:08
User ist gesperrt.
Persönliche Nachricht:

Re: BENUTZT KEIN STEAM IM MOMENT!!!

Beitrag von Stalkingwolf »

was ist wenn man die Kreditkarte direkt im Account gespeichert hat?

Klingt ja alles nicht so prickelnd.
he who fights with monsters might take care lest he thereby become a monster

Favorite Game Soundtracks
Benutzeravatar
LeKwas
Beiträge: 15548
Registriert: 31.01.2007 14:44
Persönliche Nachricht:

Re: BENUTZT KEIN STEAM IM MOMENT!!!

Beitrag von LeKwas »

ChrisJumper hat geschrieben:Ja damit hast du recht, aber ich bin bei solchen Aufrufen immer skeptisch, vielleicht möchte dich nur jemand auf eine Phishing-Seite umleiten um auch noch an deine Paypal-Zugangsdaten heran zu kommen?
Deswegen sollte man immer den Ursprung verifizieren.
Ich denke, dass du da etwas missverstehst. Urspung der Hysterie ist dieses mal nämlich keine herumzirkulierende Spammail, sondern eine Vielzahl von Nutzern auf Neogaf, Twitter, reddit und weiteren, die simultan und unabhängig voneinander quasi 'live' Unregelmäßigkeiten bzw. eine potentielle Sicherheitslücke auf Steam feststellten.
In solchen Situationen gehört es nun einmal zum Standardprozedere, vorsorglich Abrechnungsvereinbarungen und co. mit dem betreffenden Shop aufzuheben, bis die Angelegenheit geklärt ist. Solange niemand einem (vermeintliche) Links zu PayPal unterjubelt, sondern man von sich aus ihre Seite aufrufen soll, kann es sich ergo auch nicht um einen Phishingversuch handeln.

Falls jemand Infos bzgl. PayPal brauchen sollte, so geht's:
- auf den PayPal-Account gehen
- Reiter "Einstellungen"
- Reiter "PayPal-Zahlungen per Händlerabbuchung"
- falls Abonnement mit Steam bestehen sollte, auf den entsprechenden Dienst klicken und diesen inaktivieren



Edit #1:
steamdb hat sich noch einmal dazu geäußert, sie halten eine interne Panne als Auslöser für am wahrscheinlichsten:
Disclaimer: Steam Database is not affiliated with Valve in any way. We are a community run website.

An hour ago, Steam users started seeing incorrect information on the Steam Store, as if they were signed into someone else's account.

There is no official confirmation from Valve yet, so we can only speculate as to why this issue happened. Valve is known to use Akamai as their CDN and Varnish for caching. Our theory is that a caching misconfiguration in one of these components has caused Steam to incorrectly serve rendered and cached pages intended for a single user only.

This issue means that users’ private information such as email address, billing address, and sometimes credit card details are at risk. As far as we know, this issue is read-only, and no one is able to perform any actions involving your account on your behalf.

To protect yourself, we strongly recommend completely avoiding visiting any Steam store links. This includes visiting the Steam store using the Steam client.

This is not a hack or a DDoS attack. This is highly likely to be a misconfiguration in one of Valve’s caching layers.

At the time of this writing, the Steam store is inaccessible. We can only assume Valve is currently working on fixing the issue.

If you used a PayPal account and had the details saved, you can unlink your account by logging on PayPal.com and going to Settings and Preapproved payments under the Payment options heading.

Going forward, we strongly encourage you not to store your billing information on the Steam store. Valve have proven multiple times that they’re unable to keep their security standards to a high level.
https://steamdb.info/blog/recent-cachin ... -on-steam/



Edit #2:
Totalbiscuit hat ein kurzes PSA dazu veröffentlicht:

https://www.youtube.com/watch?v=x80VOkFwsL0
Inoffizieller 4Players-Discord-Server: https://discord.gg/BQV9R54
Benutzeravatar
Bedameister
Beiträge: 19413
Registriert: 22.02.2009 20:25
Persönliche Nachricht:

Re: Sicherheitsleck auf Steam (Up: sollte wieder gehen)

Beitrag von Bedameister »

Ok Momentan sollte es sich wieder etwas beruhigt haben. Scheinbar kann man nichtmehr direkt andere Accounts ankucken (scheint wohl über Google Cache noch zu gehen).
Abwarten was nun wirklich los war und wie schlimm es war. Aber für Valve wird das sicher noch unangenehme Folgen haben.

Hier mal n Random Artikel der vieleicht etwas mehr Informationen liefert
http://www.eurogamer.net/articles/2015- ... on-exposed
Benutzeravatar
greenelve
Beiträge: 48763
Registriert: 07.04.2009 19:19
Persönliche Nachricht:

Re: Sicherheitsleck auf Steam (Up: sollte wieder gehen)

Beitrag von greenelve »

Valve hat sich mittlerweile zu dem Vorfall geäußert:
Steam is back up and running without any known issues. As a result of a configuration change earlier today, a caching issue allowed some users to randomly see pages generated for other users for a period of less than an hour. This issue has since been resolved. We believe no unauthorized actions were allowed on accounts beyond the viewing of cached page information and no additional action is required by users.
http://kotaku.com/steam-goes-nuts-offer ... 1749718979
Gelangweilt? Unterfordert? Masochistisch veranlagt? http://www.4players.de/4players.php/dow ... 47903.html Jetzt auch auf Steam: store. steampowered .com/app/752490/
Who knows what evil lurks in the hearts of men? The Shadow knows!

Geklaut von greenelve. Falls das Forum schließen sollte:
Inoffizieller 4Players-Discord-Server: https://discord.gg/BQV9R54
Benutzeravatar
Chibiterasu
Beiträge: 28639
Registriert: 20.08.2009 20:37
Persönliche Nachricht:

Re: Sicherheitsleck auf Steam (Up: sollte wieder gehen)

Beitrag von Chibiterasu »

Wundert mich, dass das hier kaum jemanden interessiert... liegt wohl am Feiertag.

Es ist anscheinend so, dass wenn man zur Zeit wo das passiert ist in den Warenkorb gewechselt und auf bezahlen gegangen ist, ALLE Daten (voller Name, Adresse, Telefonnummer etc. und die letzten 4 Ziffern der Kreditkarte) einsehen konnte - sofern der betroffene die Zahlungsdaten gespeichert hat.
Das ist schon heftig und da müssen mehr Infos von Valve kommen.

Ich habe meine Daten in der Regel nicht gespeichert - hoffentlich beim letzten Salekauf vor ein paar Tagen ebenfalls nicht.
Benutzeravatar
shakeyourbunny
Beiträge: 1601
Registriert: 25.01.2013 17:39
User ist gesperrt.
Persönliche Nachricht:

Re: Sicherheitsleck auf Steam (Up: sollte wieder gehen)

Beitrag von shakeyourbunny »

Ich hab den Link zu Paypal durchtrennt, aber scheinbar spinnen die Server von Steam wieder rum.

Diesmal hats die Profilseiten erwischt ....
-> Trade Thread <-

They have taken you from the Imperial City's prison, first by carriage, and now by boat. To the east, to Morrowind. Fear not, for I am watchful. You have been chosen.
Antworten